iptables

一、首先熟悉一些名詞

容器：瓶子叶组，放東西的
表(table): 存放鏈的容器
鏈(chain): 存放規(guī)則的容器
規(guī)則(policy): 準(zhǔn)許ACCPT或拒絕DROP規(guī)則

二拯田、iptables執(zhí)行過程

1.防火墻是層層過濾的，實(shí)際是按照配置規(guī)則的順序從上到下扶叉，從前到后進(jìn)行過濾的勿锅。
2.匹配 表示 阻止還是通過，數(shù)據(jù)包就不再向下匹配新的規(guī)則 枣氧。
3.如果規(guī)則中沒有明確表明是阻止還是通過的溢十，也就是沒有匹配規(guī)則，向下進(jìn)行匹配达吞，直到匹配默認(rèn)規(guī)則得到明  確的阻止還是通過张弛。
4.防火墻的默認(rèn)規(guī)則是所有規(guī)則執(zhí)行完才執(zhí)行的。

image.png

三酪劫、四表五鏈

表：
filter(默認(rèn)吞鸭，防火墻功能，準(zhǔn)許 拒絕)
nat (nat功能：共享上網(wǎng)覆糟，端口映射)
mangle
raw

四表五鏈流程：

四刻剥、安裝部署

下載
yum install -y iptables-services

加載內(nèi)核模塊(臨時生效，寫入rc.local永久生效）
modprobe ip_tables
modprobe iptable_filter
modprobe iptable_nat
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe ipt_state

lsmod | egrep 'ipt|nat|filter'

systemctl start iptables.service
systemctl enable iptables.service

五滩字、常用命令-filter表

1.查看規(guī)則

查看默認(rèn)表規(guī)則
iptables -nL
查看nat表規(guī)則
iptables -t nat -nL

2.清空規(guī)則

iptables -F
iptables -X
iptables -Z
-F造虏，--?ush   清除所有規(guī)則，不會處理默認(rèn)的規(guī)則
-X  刪除用戶自定義的鏈
-Z  鏈的計(jì)數(shù)器清零（數(shù)據(jù)包計(jì)數(shù)器與數(shù)據(jù)包字節(jié)計(jì)數(shù)器）

3.刪除INPUT的第一條規(guī)則

iptables -D INPUT 1
依此類推

3.配置規(guī)則

3.1.IP相關(guān)

1.禁止10.0.0.7訪問22端口
iptables -I INPUT -s 10.0.0.7 -p tcp --dport 22 -j DROP

2.禁止172.16.1.0網(wǎng)段訪問8080端口
iptables -I INPUT -s 172.16.1.0/24 -p tcp --dport 8080 -j DROP

3.只允許10.0.0.0網(wǎng)段訪問(設(shè)置白名單)
iptables -I input ! -s 10.0.0.0/24 -j DROP

3.2.端口相關(guān)

禁止用戶訪問1024-65535端口
iptables -I INPUT -p tcp --dport 1024:65535 -j DROP

禁止用戶訪問80端口和443端口
iptables -I INPUT -p tcp -m multiport --dport 80,443 -j DROP

3.3禁止被ping

通過內(nèi)核參數(shù)設(shè)置禁止被ping
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
sysctl -p

通過防火墻設(shè)置禁止被ping
iptables -I INPUT -p icmp--icmp-type 8 -j DROP

3.4生產(chǎn)用法

允許22端口接入
iptables -I INPUT -p  tcp --dport 22 -j ACCEPT 

流量進(jìn)來出去走lo網(wǎng)卡
iptables -A INPUT -i lo -j ACCEPT 
iptables -A OUTPUT -o lo -j ACCEPT 

允許80麦箍，443端口接入
iptables -I INPUT -p tcp -m multiport --dport 80,443 -j ACCEPT 

修改默認(rèn)規(guī)則為拒絕
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

設(shè)置10.0.0.0網(wǎng)段為白名單
iptables -A INPUT -s 10.0.0.0/24 -j ACCEPT

六漓藕、常用命令-nat表

1.共享上網(wǎng)

把172.16.1.7轉(zhuǎn)換為10.0.0.61訪問外網(wǎng)
iptables -t nat -A POSTROUTING  -s 172.16.1.7 -j SNAT --to-source  10.0.0.61

把172.16.1.0網(wǎng)段轉(zhuǎn)換為10.0.0.61訪問外網(wǎng)
iptables -t nat -A POSTROUTING  -s 172.16.1.0/24 -j SNAT --to-source  10.0.0.61

開啟轉(zhuǎn)發(fā)規(guī)則
echo 'net.ipv4.ip_forward = 1'  >> /etc/sysctl.conf 
sysctl -p

2.端口轉(zhuǎn)發(fā)

客戶端訪問10.0.0.61 9000端口 跳轉(zhuǎn)至172.16.1.7 22端口
iptables -t nat -A POSTROUTING  -d 10.0.0.61 -p tcp --dport 9000 -j DNAT --to-destination 172.16.1.7:22

注意查看是否配置了轉(zhuǎn)發(fā)規(guī)則
tail -1 /etc/sysctl.conf
net.ipv4.ip_forward=1

#注意：內(nèi)網(wǎng)的服務(wù)器需要把網(wǎng)關(guān)設(shè)置為防火墻的IP

3.IP轉(zhuǎn)發(fā)

添加臨時IP10.0.0.62
ip a a 10.0.0.62/24 dev eth0 lable eth0:0

訪問10.0.0.62，自動跳轉(zhuǎn)至172.16.1.7
iptables -t nat -A PREROUTING  -d 10.0.0.62   -j DNAT  --to-destination 172.16.1.7

刪除臨時IP
ip a del 10.0.0.62/24 dev eth0

最后編輯于：2019.08.21 11:29:27

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者

人面猴
序言：七十年代末挟裂，一起剝皮案震驚了整個濱河市享钞，隨后出現(xiàn)的幾起案子，更是在濱河造成了極大的恐慌诀蓉，老刑警劉巖栗竖，帶你破解...
沈念sama閱讀 218,755評論 6贊 507
死咒
序言：濱河連續(xù)發(fā)生了三起死亡事件，死亡現(xiàn)場離奇詭異渠啤，居然都是意外死亡狐肢，警方通過查閱死者的電腦和手機(jī)，發(fā)現(xiàn)死者居然都...
沈念sama閱讀 93,305評論 3贊 395
救了他兩次的神仙讓他今天三更去死
文/潘曉璐我一進(jìn)店門埃篓，熙熙樓的掌柜王于貴愁眉苦臉地迎上來处坪，“玉大人，你說我怎么就攤上這事⊥剑” “怎么了玄帕？”我有些...
開封第一講書人閱讀 165,138評論 0贊 355
道士緝兇錄：失蹤的賣姜人
文/不壞的土叔我叫張陵，是天一觀的道長想邦。經(jīng)常有香客問我裤纹，道長，這世上最難降的妖魔是什么丧没？我笑而不...
開封第一講書人閱讀 58,791評論 1贊 295
?港島之戀（遺憾婚禮）
正文為了忘掉前任鹰椒，我火速辦了婚禮，結(jié)果婚禮上呕童，老公的妹妹穿的比我還像新娘漆际。我一直安慰自己，他們只是感情好夺饲，可當(dāng)我...
茶點(diǎn)故事閱讀 67,794評論 6贊 392
惡毒庶女頂嫁案：這布局不是一般人想出來的
文/花漫我一把揭開白布奸汇。她就那樣靜靜地躺著，像睡著了一般往声。火紅的嫁衣襯著肌膚如雪擂找。梳的紋絲不亂的頭發(fā)上，一...
開封第一講書人閱讀 51,631評論 1贊 305
城市分裂傳說
那天浩销，我揣著相機(jī)與錄音贯涎，去河邊找鬼。笑死慢洋，一個胖子當(dāng)著我的面吹牛塘雳，可吹牛的內(nèi)容都是我干的。我是一名探鬼主播且警，決...
沈念sama閱讀 40,362評論 3贊 418
雙鴛鴦連環(huán)套：你想象不到人心有多黑
文/蒼蘭香墨我猛地睜開眼粉捻，長吁一口氣：“原來是場噩夢啊……” “哼礁遣！你這毒婦竟也來了斑芜？” 一聲冷哼從身側(cè)響起，我...
開封第一講書人閱讀 39,264評論 0贊 276
萬榮殺人案實(shí)錄
序言：老撾萬榮一對情侶失蹤祟霍，失蹤者是張志新（化名）和其女友劉穎杏头，沒想到半個月后，有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體沸呐，經(jīng)...
沈念sama閱讀 45,724評論 1贊 315
?護(hù)林員之死
正文獨(dú)居荒郊野嶺守林人離奇死亡醇王，尸身上長有42處帶血的膿包…… 初始之章·張勛以下內(nèi)容為張勛視角年9月15日...
茶點(diǎn)故事閱讀 37,900評論 3贊 336
?白月光啟示錄
正文我和宋清朗相戀三年，在試婚紗的時候發(fā)現(xiàn)自己被綠了崭添。大學(xué)時的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片寓娩。...
茶點(diǎn)故事閱讀 40,040評論 1贊 350
活死人
序言：一個原本活蹦亂跳的男人離奇死亡，死狀恐怖，靈堂內(nèi)的尸體忽然破棺而出棘伴，到底是詐尸還是另有隱情寞埠，我是刑警寧澤，帶...
沈念sama閱讀 35,742評論 5贊 346
?日本核電站爆炸內(nèi)幕
正文年R本政府宣布焊夸，位于F島的核電站仁连，受9級特大地震影響，放射性物質(zhì)發(fā)生泄漏阱穗。R本人自食惡果不足惜饭冬，卻給世界環(huán)境...
茶點(diǎn)故事閱讀 41,364評論 3贊 330
男人毒藥：我在死后第九天來索命
文/蒙蒙一、第九天我趴在偏房一處隱蔽的房頂上張望揪阶。院中可真熱鬧昌抠，春花似錦、人聲如沸鲁僚。這莊子的主人今日做“春日...
開封第一講書人閱讀 31,944評論 0贊 22
一樁弒父案，背后竟有這般陰謀
文/蒼蘭香墨我抬頭看了看天上的太陽蕴茴。三九已至劝评，卻和暖如春，著一層夾襖步出監(jiān)牢的瞬間倦淀，已是汗流浹背蒋畜。一陣腳步聲響...
開封第一講書人閱讀 33,060評論 1贊 270
情欲美人皮
我被黑心中介騙來泰國打工，沒想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留撞叽，地道東北人姻成。一個月前我還...
沈念sama閱讀 48,247評論 3贊 371
代替公主和親
正文我出身青樓，卻偏偏與公主長得像愿棋，于是被迫代替她去往敵國和親科展。傳聞我的和親對象是個殘疾皇子，可洞房花燭夜當(dāng)晚...
茶點(diǎn)故事閱讀 44,979評論 2贊 355

iptables

一、首先熟悉一些名詞

二拯田、iptables執(zhí)行過程

三酪劫、四表五鏈

四表五鏈流程：

四刻剥、安裝部署

五滩字、常用命令-filter表

1.查看規(guī)則

2.清空規(guī)則

3.刪除INPUT的第一條規(guī)則

3.配置規(guī)則

3.1.IP相關(guān)

3.2.端口相關(guān)

3.3禁止被ping

3.4生產(chǎn)用法

六漓藕、常用命令-nat表

1.共享上網(wǎng)

2.端口轉(zhuǎn)發(fā)

3.IP轉(zhuǎn)發(fā)

推薦閱讀更多精彩內(nèi)容